So mancher hat kapituliert. Die Welt titelte heute in ihrer Satire-Kolumne, das Internet werde am 25.05.2018 ab 10 Uhr abgeschaltet - aus Datenschutzgründen. Ganz unsatirisch ist der gesamte ehrenamtliche Vereinsvorstand der "Bewegungs- und Rehabilitationssportgemeinschaft Ingelheim" zurückgetreten. Auslöser ist die EU-DSGVO, die Europäische Datenschutzgrundverordnung, die ab dem 25.05.2018 nach zwei Jahren Übergangsfrist inkraft tritt. Seit Wochen grassiert vor allem unter Ehrenamtlichen die Panik vor Millionen von Euro an Strafzahlungen. Schuld vor allem: 1. die späte Erkenntnis, dass ehrenamtliche Vereine genauso behandelt werden wie Großkonzerne und 2. kursierende Falschinformation.

Datenschutz bedeutet nicht nur Internet

Mit Blick auf den Verein in Ingelheim wird die ein oder andere böse Zunge sagen, bei einem Vereinsvorstand mit durchschnittlich 79 Jahren würden Menschen das Internet einfach nicht verstehen. Doch wer diesen Einwand bringt, ist selbst einem Missverständnis oder eine Fehlinformation aufgesessen. Die EU-DSGVO ist kein Internetgesetz. Es geht dabei allgemein um die Verarbeitung und Speicherung von personenbezogenen Daten. Das betrifft den Ordner mit Papier-Listen von Vereinsmitgliedern genauso wie die Webseite.

Die Angst vor dem Internet ist allerdings deshalb so groß, weil hier datenschutzrechtlicher Missbrauch und intransparente Kommunikation schneller auffällt, als ob Akten bei einem Ehrenamtlichen zuhaus auch korrekt in einem Wandschrank verschlossen sind. Dabei führten in den Jahren 2014 bis 2017 viele Ehrenamtlichen selbst einen Kampf um den Schutz ihrer persönlichen Daten, abseits vom Impressum einer Webseite: Einsichtnahme erweiterter Führungszeugnisse.

Während die Ehrenamtlichen massiv auf den Schutz ihrer intimsten Daten drangen, sahen sie sich einer Wilkür von Trägern und Kommunen in Deutschland ausgesetzt, bei der Führungszeugnisse kopiert und abgeheftet wurden oder Eintragungen untersucht wurden und zum Ausschluss führten, die vor der Einsichtnahme gegenüber den Ehrenamtlichen nicht benannt wurden. Und so passierte es dann, dass jemand der wegen mehrfach Schwarzfahrens im ÖPNV vorbestraft war, plötzlich unter Pädophilie-Verdacht stand und nicht mehr in der Hausaufgabenhilfe für Flüchtlingskinder anpacken durfte. Die Ehrenamtlichen pochten massiv die Einsichtnahme so vorzunehmen, wie sie die Gesetzgeber in §72 a vorschreibt - das Augenmerk auf die DSGVO stärkt ihnen nun den Rücken, dass maximale Absicherung eben nicht vor Datenschutz geht.

Was bedeutet das neue Gesetz nun aber?

Die meisten werden überrascht sein, aber: zu 90% nichts Neues. Weitestgehend gelten die selben Datenschutzregelungen wie zuvor, es haben sich nur viele einfach nicht daran gehalten. Wer einen Verein neu gründet hat auch oft erstmal wichtigeres zu tun. Da ist die Eintragung ins Vereinsregister, der Erwerb der Gemeinnützigkeit, Fundraising und natürlich die Aktivität selbst. Schnell benutzt man da einen bunten Strauß an kostenloser Tools im Internet, die praktisch sind und Ehrenamtlichen die Zusammenarbeit und das Leben erleichtern. Das macht Ehrenamt häufig agiler als große Organisationen - aber natürlich auch intransparenter.

WhatsApp gefällt doch nicht? Dann lass eine Facebook-Gruppe gründen. Zu kompliziert zu administrieren? Dann doch lieber Slack!

Die Tools die ein ehrenamtlicher Verein benutzt müssen in einem sogenannten Verfahrensverzeichnis gelistet sein. Das ist schlichtweg eine Liste, in der ihr alles sammelt, womit ihr personenbezogene Daten verarbeitet. Zusätzlich erfasst ihr in diesem Verzeichnis, wer Zugriff auf diese Daten hat. Zur Führung dieses Verzeichnisses waren Vereine auch bisher schon verpflichtet.

An der Stelle, wo Leute Euch ihre personenbezogenen Daten geben, müsst ihr aktiv darauf hinweisen, wozu ihr die Daten nutzt (z.B. Kontaktaufnahme, Statistik,...), wie ihr die Daten verarbeitet (z.B. Newslettertool, Briefform, Spenderdatenbank,...), und Euch ebenfalls die aktive Zustimmung holen, die Daten verarbeiten zu dürfen. Das bedeutet auf Webseiten mit Formularen zum Ausfüllen, als auch bei einem Papierzettel bei dem man sich für einen Rundbrief oder Newsletter anmelden kann, müsst ihr darauf hinweisen. 

Besonders heikel: Wo gebt ihr die Daten an Dritte weiter? Und in welchem Detailgrad? Ohne die Zustimmung der betroffenen Person dürfen personenbezogene Daten nicht an Dritte weitergegeben werden. Wer sind aber Dritte? Dritte sind Körperschaften und Personen außerhalb der Organisation, die die Daten erhebt.

All das war aber auch bisher gültige Rechtslage in Deutschland.

Entschuldigung: Was sind personenbezogene Daten überhaupt?

Das Gesetz sagt hierzu:

Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)

Alles was also Rückschlüsse gibt auf eine individuelle Person ist von Relevanz also z.B. Name, Alter, Geburtsdatum, Anschrift, Email, Vorstrafen, genetische Daten, Kontonummer, ethnische Herkunft, politische oder religiöse Besinnung, etc.

Den Nachweis erbringt der, der die Daten nutzt

Wichtig: Derjenige, der die Daten verarbeitet und nutzt, muss nachweisen, dass er die Zustimmung zur Verarbeitung erhalten hat. Das macht so manche nervös. Denn, so überlegen fachverliebte Juristen, wie weise ich denn nach, dass jemand, der bzw. die mir seine bzw. ihre Visitenkarte gegeben hat, nun möchte, dass ich diese Person kontaktiere?

Ein Problem, das eigentlich auch schon vorher da war - nur eben bisher nicht mit so hohen Bußgeldern versehen war.

Man merkt: Das Inkrafttreten der DGSVO ist vor allem für die ein Problem, die sich auch bisher aufgrund des niedrigen Strafmaß nicht für Datenschutz interessiert haben.

Tricky wird es allerdings bei Fotos:

Alle die nicht fotografiert werden wollen in die linke Ecke, der Rest kommt auf Facebook - das geht jetzt nicht mehr

Künftig braucht man von allen Personen, welche auf einem Foto sind, die nachweisbare Genehmigung das Foto nicht nur zu veröffentlichen - und dazu zählt auch die Listung der Tools, wo man dies plant zu veröffentlichen - sondern auch zu speichern. Erfasst die Kamera Metadaten wie Ort und Zeit? So muss auch dies mitgeteilt und dem aktiv zugestimmt werden.

Und jetzt!?

Was also nun mit alten Fotos machen? Und was künftig tun? Endlich hat Horst Seehofer, Bundesminister des Inneren, und damit zuständig für die Kontrolle des Datenschutz Stellung genommen für verunsicherte Vereine. Nämlich:

Ihr macht diesbezüglich erstmal nichts.

In einem Brief an die Landesdatenschutzbeauftragte von NRW schreibt Horst Seehofer, er habe "Zweifel, ob die kleineren und mittelständischen Betriebe, Vereine oder auch die ehrenamtlich Tätigen, die eben nicht die Möglichkeit haben, sich ausreichend juristisch beraten zu lassen, gleichermaßen gut und schnell konform mit der Grundverordnung agieren werden." Er fordert deshalb in der Anfangsphase Milde walten zu lassen und auf Verwarnungen mit Beratung statt Bußgelder zu setzen.

Ihr könnt also erstmal abwarten und schauen, wenn ihr mit einem Aspekt nicht wisst umzugehen, wie sich die Großen an der Gesetzeslage abarbeiten und zu welchen Urteilen das ein oder andere Gericht kommt. Dann könnt Ihr Eure Handhabung anpassen.

Heißt das wir tun nichts?

Nein. Ihr solltet auf jeden Fall ab sofort versuchen so gut wie möglich zu dokumentieren und die EU-DGSVO einzuhalten. Wichtig ist, dass man sieht, dass Ihr in Eurem Verhältnis Euer Bestes tut. Fragt Euch ruhig: Müssen soviele Personen Zugriff auf die Spenderliste oder den Emailverteiler haben? Kann man das nicht verschlanken? Löscht konsequent Karteileichen und archiviert nicht ungenutzte Daten die älter als zwei Jahre sind.

Insbesondere auf Euren Webseiten könnt Ihr einiges tun. Denn rund um das Thema Webseiten werden häufig Daten der Webseitennutzer unsichtbar erfasst und weitergegeben. Habt ihr einen Facebook-Like-Button? Oder benutzt Ihr Google Analytics? Das muss in den Nutzungsbedingungen auf Eurer Webseite gelistet sein. Hierzu findet Ihr zahlreiche Vorlagen im Internet. Im Zweifelsfall gilt - weißt lieber etwas zu viel als etwas zu wenig aus.

Gesetze sind dazu da unser gemeinsames Leben zu regel und sind für uns verpflichtend. Auf die faule Haut legen dürft Ihr Euch also nicht. Aber wenn Ihr Euch offensichtlich bemüht und im Falle einer Abmahnung vorweisen könnt, dass Ihr für das Thema sensibel seid und aktiv werdet, dann werdet Ihr gewiss Kulanz von der entsprechenden Behörde erfahren.

Ausverkauft!

Insbesondere das Thema Datenschutzbeauftragter ist eines, dem Ihr Euch bereits jetzt widmen solltet, falls Ihr einen braucht. Denn mit Inkrafttreten der DSGVO ist es seit Monaten fast unmöglich einen Datenschutzbeauftragten zu finden, wenn man verpflichtet ist, einen zu bestellen. Und die, die aktuell noch Kapazitäten haben, rufen Preise auf, de sind für Ehrenamtliche nicht erschwinglich. Ihr solltet also jetzt dranbleiben, um entweder bei nächster guter Gelegenheit einen zu bestellen oder zumindest nachweisen zu können, dass eine Beauftragung bisher nicht geklappt hat, aber nicht Euer Verschulden ist.

Wann braucht man denn einen Datenschutzbeauftragten überhaupt? Wenn mehr als neun Personen regelmäßig mit automatisierter Datenerhebung, -verarbeitung oder - nutzung beschäftigt sind oder wenn mehr als 20 Personen regelmäßig mit nichtautomatisierter Datenerhebung, -verarbeitung oder - nutzung beschäftigt. Unter automatisierte Verarbeitung fällt z.B. alles was an einem Computer gemacht wird oder an einem Smartphone. Nichtautomatisierte Verarbeitung ist zum Beispiel ein Karteikasten.

Wenn Ihr gerade an der Grenze unterwegs seid, solltet Ihr Euch überlegen, wie Ihr den Zugriff an Personen reduzieren könnt, um Euch den Aufwand zu sparen. Dringend raten wir Euch davon ab, dass sich eine Person von Euch zum Datenschutzbeauftragten ernennen lässt. Überlasst das Profis! Das Haftungsrisiko ist zu hoch!

Insgesamt ist das Thema Datenschutzbeauftragter wie so vieles aber kein neues Thema, sondern eines, das mit den neuen hohen Bußgeldern plötzlich ins Bewusstsein gerückt ist.

Datenschutz ist nicht Urheber- oder Wettbewerbsrecht

Viele fragten sich in dem Rahmen: Habe ich den richtigen Urheber genannt als Fotograf für unser Bild auf dem Blog? Brauchen wir ein Double-Opt-In für unseren Newsletter?

Das sind spannende und wichtige Fragen mit denen Ihr Euch definitiv befassen solltet und vielleicht auch müsst. Aber: Nur weil es etwas mit Eurer Webseite oder Eurer Onlinekommunikation zu tun hat, heißt das nicht, dass alles DSGVO ist. Eventuell geht es um Urheberrecht oder um Wettbewerbsrecht. Wenn Ihr also z.B. "DGSVO Fotonachweis" googelt, werdet Ihr sicherlich viel Spezialdebatte zu Street Photography finden, aber nichts zu Bildlizenzen. Gewiss gibt es da gesetzliche Verpflichtungen einzuhalten.